Informatiebeveiliging 2019

UWV biedt steeds meer digitale dienstverlening en werkt met veel persoonsgegevens. Adequate beveiliging is noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen.

BIR 2017

In 2019 hebben wij maatregelen genomen om de veiligheid van gegevens en informatiesystemen verder te borgen. Hierbij conformeren wij ons aan de Baseline Informatiebeveiliging Rijksdienst (BIR) 2017, die per 2020 opgaat in de Baseline Informatiebeveiliging Overheid (BIO). In de eerste 4 maanden van 2019 zijn de eerste verantwoordelijkheden vanuit de BIR opnieuw bekrachtigd door de bedrijfsonderdelen. Besluitvorming over de overschakeling naar BIR 2017 en BIO vindt plaats in juli. De impact wordt vooralsnog ingeschat als beperkt, omdat UWV al langere tijd volgens een risicogestuurde aanpak werkt.

UWV is eind vorig jaar een traject gestart om externe softwareleveranciers gecontroleerd toegang te geven tot de UWV‑omgeving, in lijn met de AVG en geldende interne richtlijnen. De eerste fase, waarin de externe softwareleveranciers op gecontroleerde wijze toegang krijgen tot de UWV‑omgeving, wordt afgerond in het tweede kwartaal van 2019. De tweede fase, waarin de softwareleveranciers ook toegang krijgen tot de applicaties en systemen, wordt naar verwachting voor het eind van dit jaar gerealiseerd.

Veilige software is een constant aandachtspunt binnen het IV‑domein. UWV hanteert hiervoor de kwaliteitsrichtlijn Secure Software Development (SSD). Voor nieuwe software is dit in afspraken en contracten met softwareleveranciers vastgelegd. Voor bestaande, oudere software blijkt dit een weerbarstige materie, omdat de rolverdeling met onze hostingpartij en softwareleveranciers niet altijd duidelijk is. Begin 2019 is een pilot opgestart die tot doel heeft om gezamenlijk met de applicatie- en hostingleveranciers de implementatie van SSD te evalueren. Op basis van de bevindingen worden verbeteracties voorgesteld om meer grip te krijgen op de veiligheid van de applicaties.

Autorisatiebeheer, ofwel het beheer van toegangsrechten van medewerkers tot en binnen de (digitale) werkplek, is een belangrijk thema binnen UWV. Momenteel werken we aan het opstellen van een visiedocument en een roadmap die inzicht geven in de wijze waarop UWV in de toekomst autorisatiebeheer gaat vormgeven. Hierbij houden we rekening met de huidige initiatieven en beleidsontwikkelingen. Op basis van een maandelijkse controle op autorisaties wordt toezicht gehouden op de uitvoering van het huidige proces.

UWV heeft eind 2018 een encryptiebeleid vastgesteld dat is afgeleid van de BIR. Het encryptiebeleid is richtinggevend voor de wijze waarop UWV zijn informatie kan beveiligen. Het gaat daarbij niet alleen om opgeslagen data maar ook om data die tussen systemen worden uitgewisseld. De betrokken bedrijfsonderdelen bepalen op basis van een risicoanalyse gezamenlijk waar aanvullende maatregelen op het gebied van encryptie nodig zijn. De verwachting is dat zij uiterlijk eind september hiervoor een plan opleveren.

Bewustzijn

Minstens zo belangrijk als een goede beveiliging van de systemen en het voldoen aan wet- en regelgeving is dat onze medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. In het kader van de training Veilig omgaan met informatie voor managers is een e‑learning ontwikkeld. Op verzoek van veel managers die deze e‑learning hebben gevolgd, is in de eerste maanden van 2019 een tweede e‑learning ontwikkeld die geschikt is voor alle medewerkers van UWV. Beide e‑learnings zijn per 1 mei 2019 beschikbaar gesteld.

Toekomst gegevensuitwisseling sector Werk en Inkomen

UWV is betrokken bij het sectorale programma Toekomst gegevensuitwisseling sector Werk en Inkomen van het ministerie van Sociale Zaken en Werkgelegenheid (SZW), waarin de visie centraal staat om de regie van burgers op gegevens en dienstverlening te versterken. Ook in 2019 draagt UWV bij aan het realiseren van de doelen die het programma zich heeft gesteld, gericht op de herijking van het stelsel van gegevensuitwisseling binnen werk en inkomen. Het ministerie van SZW heeft in samenwerking met UWV, de SVB, VNG, Inlichtingenbureau en BKWI een aantal toekomstscenario’s onderzocht. Gekozen is voor een scenario waarin de burger en nieuwe technologie centraal staan.